氮惡意軟件

研究人員發現了一種初始訪問惡意軟件活動，他們將其追踪為“氮”。網絡犯罪分子一直在利用 Google 和 Bing 搜索廣告來宣傳假冒軟件網站，以此來感染毫無戒心的受害者。訪問這些網站的用戶在不知情的情況下成為威脅性Cobalt Strike和勒索軟件負載部署的受害者。

Nitrogen 惡意軟件背後的核心目標是為威脅行為者提供進入企業網絡的初始入口點。一旦滲透，惡意行為者就能夠竊取數據、從事網絡間諜活動，並最終釋放破壞性的BlackCat/ALPHV 勒索軟件。

對氮運動的深入分析揭示了其主要目標，主要包括位於北美的技術和非營利組織。攻擊者通過冒充 AnyDesk、Cisco AnyConnect VPN、TreeSize Free 和 WinSCP 等信譽良好的軟件提供商來執行他們的計劃。這種欺騙性策略讓用戶相信他們正在訪問正版軟件，結果卻暴露在 Nitrogen 惡意軟件的危險之下。

在此活動中使用 Google 和 Bing 搜索廣告增加了額外的複雜性，使威脅行為者能夠接觸到更廣泛的潛在受害者。通過利用這些流行的搜索引擎，攻擊者增加了誘使用戶點擊欺詐軟件鏈接的可能性，從而啟動惡意感染過程。

氮惡意軟件針對特定地理位置的受害者

當用戶通過 Google 或 Bing 搜索各種知名軟件應用程序時，氮惡意軟件活動就會開始。此活動中用作誘餌的軟件包括 AnyDesk（遠程桌面應用程序）、WinSCP（適用於 Windows 的 SFTP/FTP 客戶端）、Cisco AnyConnect（VPN 套件）和 TreeSize Free（磁盤空間計算器和管理器）。軟件誘餌的選擇基於攻擊者的目標標準。

當用戶搜索這些軟件應用程序中的任何一個時，相應的搜索引擎會顯示似乎推銷確切軟件產品的廣告。用戶可能會在不知不覺中點擊這些看似合法的廣告，希望下載所需的軟件。

然而，該鏈接並沒有到達真正的網站，而是將訪問者重定向到受感染的 WordPress 託管頁面。這些頁面經過精心設計，模仿相關特定應用程序的官方下載網站的外觀。

然而，並不是每個人都會訪問不安全的網站。只有來自特定地理區域的訪問者才會被選擇性地重定向到網絡釣魚站點，從而確保更有可能從所選區域吸引潛在受害者。如果有人試圖通過直接打開鏈接而不是通過廣告進入這些頁面，他們將被重定向到 Rick Astley 的經典歌曲“Never Gonna Give You Up”的 YouTube 視頻，這一舉動被稱為 rick-rolling。

氮惡意軟件可能被用來向受感染的設備發送勒索軟件

從虛假網站傳播的威脅軟件以名為“install.exe”的木馬 ISO 安裝程序的形式出現，該安裝程序攜帶並旁加載損壞的 DLL 文件“msi.dll”（NitrogenInstaller）。它充當氮惡意軟件的安裝程序。此外，它還設置了承諾的應用程序，以避免引起受害者的懷疑。該惡意軟件通過創建“Python”註冊表運行鍵來建立持久性機制，該運行鍵每隔五分鐘運行一次，並指向名為“pythonw.exe”的惡意二進製文件。

該惡意軟件的 Python 組件稱為“python.311.dll”(NitrogenStager)，負責與黑客的命令和控制服務器 (C2) 建立通信。它還會在受害者的計算機上啟動Meterpreter shell 和 Cobalt Strike Beacons。

在某些情況下，一旦 Meterpreter 腳本在目標系統上執行，攻擊者就會進行實際操作。他們使用手動命令來檢索額外的 ZIP 文件和 Python 3 環境，這是在內存中運行 Cobalt Strike 所必需的，因為 NitrogenStager 本身無法執行 Python 腳本。 Nitrogen 惡意軟件的感染鏈指向受感染的設備，以部署最終的勒索軟件有效負載。